templates N P P

NPPars

پیاده سازی سیستم مدیریت امنیت اطلاعات

جمعه ، 27 اسفند 1389 ، 15:42
ابراهیم علیزاده
بازدیدها: 872
  • چاپ

استاندارد مدیریت امنیت اطلاعات و داده ها ISO 27001:2005

استاندارد BS 77992:2002 به طور رسمی تغییر یافت و به استاندارد های ISO /IEC 27001 ISO/IEC 17799:2005 تبدیل شد. ISO 27001 در بر گیرنده مشخصه های سیستم امنیت اطلاعات می باشد و این استاندارد برای همه بخش ها اعم از صنعتی و تجاری از جمله بانک ها موثر خواهد بود. امنیت اطلاعات می تواند برای محافظت از موارد زیر باشد:

اطلاعات دارايی است که همانند ساير دارايي های مهم برای سازمان حائز اهميت بوده و بايد مورد محافظت قرار گيرد. امروزه با گسترش تهديد هاي امنيتي که می توان به نوعی پتانسيل ايجاد وقايع ناخواسته با امکان منجر شدن به

وارد آمدن آسيب به سيستم و يا سازمان بصورت عمدی و يا سهوی ، توسط انسان و يا قهری بوده باشد ، وجود يک ساختار امن در سازمانها و ادارات ضروري بنظر مي رسد. به همين منظور و در راستای تاکید نهادهای متولی امر در کشور" سیستم مدیریت امنیت اطلاعات " (ISMS) تحت استانداردهای موسسه بین المللی استاندارد (ISO ) گامیست مفید در جهت نیل به اهداف فوق .

استاندارد فوق برای موسسات و ارگان هایی که به نحوی درگیر با ایجاد ، ذخیره سازی استفاده ، پردازش یا انتقال اطلاعات هستند در جهت بهینه سازی و ایجاد یک سیستم مدیریت امنیت اطلاعات کارآمد ( ISMS ) تهیه شده است . استاندارد انگلیسی ‏BS7799‎‏ در زمینه سیستم مدیریت امنیت اطلاعات ‏‎(ISMS)‎‏ در سال ‏‏1995 معرفی و در سال 2000 میلادی موسسه بين المللي استاندارد ‏‎(ISO)‎، بخش اول آنرا تحت عنوان ‏استاندارد ‏ISO/IEC17799‎‏ ارائه کرد. این موسسه در سال 2005، نسخه جدید این استاندارد تحت عنوان ISO/IEC27001 را ارائه نمود.

محرمانگی: حصول اطمینان از دسترسی کنترل شده به اطلاعات
یگپارچگی : محافظت از صحت و کامل بودن اطلاعات و روش های پردازش آنها
قابلیت دسترسی: حصول اطمینان از در دسترس بودن اطلاعات برای کاربران مجاز در صورت نیاز

BS 7799 در برگیرنده اهداف کنترلی و کنترل های متعددی می باشد که عبارتند از:
امنیت سازمانی
امنیت فردی
مدیریت ارتباطات و عملیات
نگهداری و تو سعه سیستم
انطباق
خط مشی امنیتی
طبقه بندی و کنترل اموال
امنیت فیزیکی و محیطی

منافع حاصل از دریافت گواهینامه ISO 27001
دریافت گواهینامه از سازمان های ثبت و صدور گواهینامه نشان دهنده ی این است که سازمان سیستم امنیت اطلاعات خود را شناسایی ، پیاده سازی و کنترل نموده است .همچنین دستیابی به منافع زیر میسر میگردد:

حصول اطمینان و اعتبار
دستیابی به یک سیستم امنیت اطلاعات ساده و صرفه جویی در هزینه
رعایت قوانین و مقررات مرتبط
وجود تعهد در سراسر سازمان نسبت به امنیت اطلاعات
کمک به انطباق با الزامات مختلف موثر بر نگهداری و مدیریت اطلاعات
ایجاد مزیت نسبی در بازار
ارتقای سطح اطمینان مشتریان و شرکای تجاری

مدیریت امنیت اطلاعات (ISMS)

مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات

امروزه با گسترش تهديد هاي امنيتي، وجود يک ساختار امن در سازمانها و ادارات ضروري بنظر مي رسد. سازمان هایی که موجودیتشان به طور عمومی به فن آوری اطلاعات  وابسته است باید از تمامی ابزارهای ممکن برای محافظت از اطلاعات استفاده کنند. جهت دستیابی به امنیت قابل قبول اطلاعات به همکاری مشتریان ، شرکای تجاری و دولت  نیاز خواهد بود. در ضمن بررسی دوره ای امنیت اطلاعات توسط سازمان های امنیتی یک روش مقبول در  این زمینه خواهد بود. پیاده سازی استاندارد های امنیتی موجود نیز ، سازمان ها را در نیل به اهداف خود یاری می رساند. پیاده سازی به طور اساسی در دو سطح صورت می گیرد. در سطح اول که سطح  کلی می باشد تمرکز بر روی پروسه های تجاری و امنیتی می باشد، به طوریکه فرهنگ امنیت اطلاعات به عنوان مفاهیم اصلی این سطح مورد بررسی قرار می گیرد و سعی می گردد رفتار و عملکرد کارکنان در سازمان ها اصلاح شده و معیار های امنیتی در تمامی سطوح سازمانی تفهیم گردد. در سطح دوم، پیاده سازی فنی و با جامعیت بیشتر صورت می گیرد که  با استفاده از استانداردهای بین المللی و سیستم ها و ابزارهای لازم صورت می گیرد. بعد از پیاده سازی پروسه های مدیریتی و تجاری و نیز پیاده سازی فنی و عملیاتی امنیت، سازمان تا حد قابل قبولی می تواند  از پوشش مناسب  مدیریت امنیت اطلاعات  اطمینان پیدا نماید. پیاده سازی مدیریت امنیت اطلاعات بر اساس یک استاندارد بین المللی مانند ISO1799 صورت می گیرد تا سازمان بتواند تاییدیه و گواهی مربوطه را اخذ نماید. شرکت قاصدک با بهره گیری از تیم فنی متخصص میتواند سازمان و مجموعه مطبوع شما را در دستیابی به یک استاندارد مديريت امنيت اطلاعات بصورت پیوسته و در يک چرخه ايمن سازي شامل مراحل طراحي، پياده سازي، ارزيابي و اصلاح در قالبهای مشاوره، طراحی، پیاده سازی و نظارت یاری نماید.

isms1

جهت پیاده سازی مدیریت امنیت اطلاعات به چک لیست های کاملی جهت بررسی وضعیت امنیتی و تشخیص نقاط ضعف جهت  بر طرف نمودن آنها نیاز خواهیم داشت که این چک لیست ها شامل موارد ذيل می باشد:

  1. چک ليست استمرار فعاليت هاي شبکه
  2. چک ليست امنيت اطلاعات
    1. انتقال ايمن اطلاعات
    2. آماده کردن اطلاعات جهت استفاده در مسيرهاي امن و حفاظت شده
    3. امکان پشتيبان گيري از اطلاعات
    4. نگهداري مالکيت اطلاعات
  3. چک ليست امنيت نرم افزار و سرويس دهنده ها
    1. امنيت نرم افزار
    2. امنيت سرويس دهنده ها
  4. چک ليست آموزش امنيتي پرسنل شبکه
  5. چک ليست امنيت فيزيکي
    1. امنيت فيزيکي مکان هاي استقرار تجهيزات در کلاس B ، A و C ( اماکن )
    2. امنيت فيزيکي تجهيزات
    3. جريان برق
  6. چک ليست امنيت دسترسي کاربران
    1. تدوين روالي جهت کنترل فعاليت کاربران
    2. آماده کردن کد شناسايي کاربر
    3. روند احراز هويت شخصي
    4. توسعه روندهاي استاندارد ورود به سيستم
    5. سازمان دهي اصول امنيت فيزيکي مهم
    6. دقت در دسترسي راه دور
    7. دسترسي ديگر نهاد اجرايي به شبکه

سيتم مديريت امنيت اطلاعات نظام جامع امنيت اطلاعات سازمان

مفهوم «سيستم مديريت امنيت اطلاعات»اولين بار طي مراحل تحرير وتوسعه استاندارد بريتانيايي 7799 در سال‌هاي انتهايي دهه 1980 ميلادي مورد بحث و توجه قرار گرفت. آخرين تعريف «سيستم مديريت امنيت اطلاعات» از نظر استاندارد بين المللي آن عبارت است از :

«سيستم مديريت امنيت اطلاعات بخشي از سيستم مديريت کلي و سراسري در يک سازمان است که برپايه رويکرد مخاطرات کسب و کار (Business Risk Approach) قراردارشته و هدف آن، پايه ‌گذاري، پياده ‌سازي ، بهره ‌برداري، نظارت، بازبيني، نگهداري و بهبود امنيت اطلاعات است.»

«امنيت اطلاعات» نيز چنين تعريف مي‌شود:

«حفاظت از محرمانگي، تماميت و دسترس‌پذيري اطلاعات، علاوه براين‌ها ساير ويژگي‌ها از قبيل اصالت ( authenticity ) ، قابليت جوابگويي و اعتبار ( accountability ) ، انکارناپذيري ( non- repudiation )، و قابليت اطمينان( reliability ) اطلاعات نيز مي‌توانند مشمول اين حفاظت باشند.»

«سيستم مديريت امنيت اطلاعات» براي حصول اطمينان از کفايت و تناسب کنترل‌هاي امنيتي محافظ  دارايي‌هاي اطلاعاتي طراحي شده‌است تا به اين وسيله به مشتريان و ديگر گروه‌هاي ذي‌نفع درباره امنيت اطلاعات موجود در سازمان اطمينان خاطرداده‌شود.  هدف اين سيستم پياده‌سازي نوعي از كنترل‌هاي امنيتي است كه با برقراري زير‌ساخت‌هاي مورد نياز، امنيت اطلاعات را تضمين مي‌نمايند. درحقيقت يک «سيستم مديريت امنيت اطلاعات»، رهيافت سيستماتيکي را براي اداره و مديريت اطلاعات حساس با هدف حفاظت از آنها فراهم مي‌آورد و کل کارکنان، فرآيندها و سيستم‌هاي اطلاعاتي يک سازمان را دربر مي ‌گيرد.

ميزان نسبي در معرض ريسک بودن يک سيستم اطلاعاتي براساس فعاليت در بخش‌هاي مختلف

 

زياد (بالاتر) متوسط پايين (کم‌تر)
دولت خودروسازي کشاورزي
هوا فضا و دفاع شيمي ساختمان‌سازي‌ومعاملات‌املاک
زيست پزشکي انرژي، نفت و گاز غذا و دخانيات
الکترونيک حمل ونقل تجهيزات صنعتي
خدمات مالي عمده فروشي معادن و مواد معدني
بهداشت و سلامت
خدمات اطلاعات
داروسازي
خرده فروشي

طراحي، پياده‌سازي، نگهداري و بهبود سيستم مديريت امنيت اطلاعات

فعاليت‌هاي مربوط به پياده‌سازي و استقرار سيستم مديريت امنيت اطلاعات بر اساس چرخه دمينگ (برنامه-اجرا-بررسي-اقدام اصلاحي) به همراه گروهای ذینفع و روابط آنها با یکدیگر در شکل زير نمايش داده شده‌است:

isms3

فعاليت‌هايي که در هر فاز از اين پروژه اجرا مي‌شوند نيز عبارتند از:

  • فاز برنامه :
  • تعريف محدوده اوليه ISMS
  • تعريف سياست  و خط مشي كلي در ISMS
  • شناسايي دارايي ها
  • شناسايي تهديدها
  • ارزيابي ريسك
  • تنظيم برنامه برخورد با ريسك ها
  • انتخاب كنترل هاي امنيتي
  • تنظيم بيانيه قابليت اجرا (SOA)
  • فاز اجرا :
  • بازبيني جهت بهبود و نهايي سازي برنامه برخورد با ريسك
  • پياده  سازي برنامه برخورد با ريسك و كنترل هاي مربوطه
  • فاز بررسي:
  • نظارت بر اجرا
  • بازبيني هاي منظم بر كارآيي و كارآمدي ISMS
  • نظارت بر ريسك هاي مورد قبول
  • هدايت منظم مميزي هاي ISMS
  • فاز اقدام :
  • پياده سازي موارد بهبود
  • انتخاب اعمال اصلاحي مناسب
  • اطمينان از رسيدن به اهداف بهبود و توسعه

استانداردهاي BS7799 و ISO 27001

BS 7799 و ISO 27001 جديدترين استانداردهاي بين‌المللي براي استقرار و بهبود سيستم مديريت امنيت اطلاعات در شركتها و سازمانهاي مرتبط با فناوري اطلاعات و تجارت الكترونيك به شمار مي‌آيند. براي مقابله با خطراتي كه در سيستمهاي اطلاعاتي اين سازمانها نهفته مي‌باشند، وجود يك سيستم مديريت امنيت اطلاعات (ISMS) جهت اطمينان از مديريت مؤثر اين خطرات بسيار حياتي است.

مزاياي استفاده از سيستم مديريت امنيت اطلاعات مبتني بر استاندارد BS7799 و ISO 27001 :

  • استاندارد مورد تأييد و اجباري از سوي شوراي‌عالي امنيت فضاي تبادل اطلاعات كشور
  • كمك به تهيه برنامه عملياتي امنيت فضاي تبادل اطلاعات سازمانها
  • تأمين امنيت در همه سطوح شامل امنيت فيزيكي، پرسنلي و ارتباطات
  • ايجاد چارچوب و ساختاري براي توسعه و نگهداري امنيت اطلاعات
  • کاهش تبليغات منفي عليه سازمان و افزايش وجهه و اعتبار سازمان
  • جديدترين استاندارد امنيت اطلاعات با رويكرد پيشگيرانه
  • كاهش هزينه‌ها
  • سيستم مديريت امنيت پويا و مستمر با نگاه همه جانبه به امنيت
  • آموزش پرسنل و ارتقاء سطح آگاهي و دانش عمومي آنها در زمينه امنيت

آخرین بروز رسانی مطلب در يكشنبه ، 15 خرداد 1390 ، 23:21

افزودن نظر
شما اينجاييد Home

تمامی حقوق مطالب،تصاویر و طرح قالب برای نسل پیشرو پارس محفوظ​ است،نقل​ و استفاده در سایت ها و نشریات تنها با ذکر منبع مجاز میباشد .

Copyright ©2009-2012 Nasle Pishro Pars™ - Powerd by: NPParsian™ Tel:09367071007

Apache